Solana 检查器 1
今天我们推出缺失所有者检查器。
这标志着我们在智能合约分析和安全工具的 Chain-Fox 系列中首次推出 @solana 检查器。
让我们深入了解 🧵
这个检查器有什么作用?
它检测Solana智能合约在使用账户时是否没有验证这些账户是否由预期的程序拥有。
这个简单的疏忽可能导致危险的漏洞。
问题
Solana 程序依赖外部账户。如果合约没有检查账户的所有者字段是否与预期的程序匹配,恶意行为者可以提供一个由另一个程序拥有的伪造账户。
结果可能导致权限提升、逻辑损坏或盗窃。
𝗪𝗵𝘆 𝗶𝘁 𝗺𝗮𝘁𝘁𝗲𝗿𝘀
一个账户可能看起来有效,但实际上可能完全被攻击者控制。
如果跳过所有权检查,合约可能会:
• 批准虚假的代币转移
• 接受恶意的配置或权限账户
• 写入不安全的内存区域
这些漏洞已经导致生态系统中的真实攻击。
𝗖𝗵𝗲𝗰𝗸𝗲𝗿 𝘀𝗵𝗶𝗸𝗮𝗿𝗮 𝘃𝗼𝗿𝗸𝘀
这个检查器扫描Solana程序,以分析指令处理程序中的账户使用情况。
它跟踪:
• 账户的访问位置
• 是否验证了𝚊𝚌𝚌𝚘𝚞𝚗𝚝.𝚘𝚠𝚗𝚎𝚛==𝚎𝚡𝚙𝚎𝚌𝚝𝚎𝚍_𝚙𝚛𝚘𝚐𝚛𝚊𝚖_𝚒𝚍
• 缺少验证的指令上下文
然后,它会标记缺少所有者检查的特定账户使用位置。
真实世界影响
我们观察到,在@solana 合约漏洞中,缺失的所有者检查是一个常见的根本原因。
在几个高知名度的项目中,未检查的账户使攻击者能够绕过逻辑门并操控程序状态。
这个检查器旨在检测和防止这种情况。
𝗪𝗵𝘆 𝗶𝘁 𝗶𝘀 𝗲𝘀𝘀𝗲𝗻𝘁𝗶𝗮𝗹 𝗳𝗼𝗿 𝗦𝗼𝗹𝗮𝗻𝗮 𝗱𝗲𝘃𝗲𝗹𝗼𝗽𝗲𝗿𝘀
虽然Solana提供了高性能,但也带来了复杂性。
安全性依赖于仔细的账户验证。
这个检查器有助于强制执行一个关键假设,而这个假设往往未被验证。
这是我们分享的第一个Solana检查工具。在我们下一个帖子中,我们将重点介绍Chain-Fox套件中另一个用于检测Solana特定漏洞的关键工具。
56
3,745
本页面内容由第三方提供。除非另有说明,欧易不是所引用文章的作者,也不对此类材料主张任何版权。该内容仅供参考,并不代表欧易观点,不作为任何形式的认可,也不应被视为投资建议或购买或出售数字资产的招揽。在使用生成式人工智能提供摘要或其他信息的情况下,此类人工智能生成的内容可能不准确或不一致。请阅读链接文章,了解更多详情和信息。欧易不对第三方网站上的内容负责。包含稳定币、NFTs 等在内的数字资产涉及较高程度的风险,其价值可能会产生较大波动。请根据自身财务状况,仔细考虑交易或持有数字资产是否适合您。